Libro blanco sobre la función de Compliance. ASCOM

Libro blanco
sobre la función
de Compliance.

2
Grupo de trabajo
D. José Manuel Maza Martín
Miembros de la Junta Directiva de ASCOM
Madrid, marzo de 2017
© ASCOM. Prohibida la distribución o reproducción total o parcial sin el consentimiento de ASCOM.
Coordinador
D. Alain Casanovas Ysla
Instituciones que han participado
Libro blanco
sobre la función de Compliance

ÍNDICE
Introducción 7
Aspectos interpretativos 8
1. Estructuras de la función de Compliance 11
2. Autonomía de la función de Compliance 15
3. Independencia de la función de Compliance 17
4. Cometidos esenciales de la función de Compliance 21
4.1. La función de Compliance y las obligaciones de Compliance 23
4.1.1. Identificación de las obligaciones de Compliance 23
4.1.2. Actualización de las obligaciones de Compliance 24
4.1.3. Difusión de las obligaciones de Compliance 24
4.1.4. Asignación de responsabilidades en cuanto a las obligaciones de Compliance 25
4.1.5. Integración de las obligaciones de Compliance en los procesos de negocio 26
4.2. La función de Compliance y los riesgos de Compliance 27
4.2.1 Identificación de riesgos de Compliance 28
4.2.2. Análisis de los riesgos de Compliance 29
4.2.3. Evaluación de los riesgos de Compliance 29
4.2.4. Identificación de los controles de Compliance 30
4.2.5. Valoración de los controles de Compliance 31
4.3. Formación y concienciación 32
4.4. Asesoramiento y reporte 34
4.4.1. Asesoramiento a la organización 35
4.4.2. Reportes operativos 36
4.4.3. Memorias anuales 37
4.4.4. Comunicaciones urgentes 38
4.5. Canales internos de denuncia 39
4.6. Mantenimiento de documentación 40
5. Monitorización del Programa de Compliance 41
6. Perfil y responsabilidades del Compliance Officer 43
6.1. Nivel Formativo 44
6.2. Experiencia profesional 46
6.3. Responsabilidad profesional 47
6.4. Interlocución con los grupos de interés 49
Anexo. Marcos de referencia de Compliance 50

5
D. Alain Casanovas Ysla
Coordinador Libro Blanco sobre la función de Compliance
—
INTRODUCCIÓN
El incremento en el volumen, la complejidad y la variabilidad de las obligaciones de cumplimiento
que afectan a las organizaciones se ha multiplicado en los últimos años, de modo que disponer
tanto de estructuras para facilitar su cumplimiento como de personal cualificado para operarlas
ha dejado de ser una prioridad exclusiva de las grandes corporaciones. Fenómenos como la
globalización de la economía o la necesidad de trascender las obligaciones legales para asumir
los compromisos éticos que reclama la sociedad, han contribuido a incrementar las necesidades
de Compliance, acelerando la evolución en la curva de madurez de una función que se percibe
como factor clave de buen gobierno corporativo.
Tanto los órganos legislativos como los poderes públicos en cada vez más países vienen
adoptando conciencia de este nuevo contexto, siendo frecuente hallar referencias a modelos
o programas de Compliance en normas con rango y alcance variados. Paralelamente y frente
a esta realidad, en los últimos años se han elaborado estándares internacionales sobre
sistemas de gestión de Compliance, que incorporan las mejores prácticas a modo de directrices
y especificaciones, de gran utilidad para su diseño y evaluación. Obviamente, uno de sus
pilares fundamentales es su gobernanza, basada en una función de Compliance orientada a la
prevención, detección y respuesta ante los riesgos derivados del incumplimiento. Atendida la
potencial amplitud de actividades asumibles por la función, se evita encorsetarla en un órgano
unipersonal, abriendo el abanico a estructuras colegiadas que facilitan conjugar conocimiento
diverso pero sinérgico, capaz de potenciar su eficacia.
Este Libro Blanco tiene por objeto identificar los aspectos esenciales que definen a la función
de Compliance y perfilan las atribuciones de sus responsables, señalando materias clave
contempladas en estándares de Compliance de gran difusión internacional. Este documento
pretende ayudar a los profesionales integrados en dicha función a concretar el alcance de sus
cometidos esenciales y, por lo tanto, las expectativas que los operadores jurídicos, económicos
y sociales podrían llegar a depositar en ellos. Lógicamente, sus disposiciones deberán siempre
interpretarse bajo el marco jurídico correspondiente y de manera proporcional a cada caso, de
modo que se adapten a las circunstancias tanto internas como externas de cada organización.
Bajo estas premisas, el Libro Blanco evita imprecisiones que dificulten alcanzar un entendimiento
claro de la función del Compliance y del rol de sus responsables en cualquier contexto,
estructurando su contenido de forma sencilla para facilitar su consulta. Todo ello bajo el
convencimiento de que este documento ayudará a perfilar adecuadamente una función llamada
desempeñar un papel clave en el desarrollo de actividades del siglo XXI.
© ASCOM Asociación Española de Compliance
www.asociacioncompliance.com

6
4
Este Libro Blanco contempla aspectos esenciales relacionados con la función de
Compliance, que deben complementarse con aquellas atribuciones de la función de
Compliance y sus responsables pueden venir fijadas tanto en normas jurídicas como
en las propias políticas de la organización donde se integra. En cualquier caso, el
marco jurídico aplicable prevalecerá respecto de lo establecido en este documento.
3
Tanto los cometidos de la función de Compliance como la de sus responsables se
describendesdeunaperspectivageneral,aplicabletantoaProgramastransversaleso
superestructuras de Compliance, como a Programas específicos sobre determinados
riesgos de Compliance, como los de naturaleza penal, por ejemplo.
2
Sin perjuicio de lo anterior, el contenido de este Libro Blanco puede resultar de
utilidad para que los operadores jurídicos, económicos y sociales interpreten y
valoren correctamente el alcance de los cometidos de la función de Compliance y de
sus responsables.
1
El presente Libro Blanco tiene como objeto ayudar a las organizaciones a determinar
los cometidos esenciales tanto de la función de Compliance como la de sus
responsables. Su contenido se inspira en buenas prácticas recogidas en textos,
tanto nacionales como internacionales, que se relacionan a modo de Anexo.
ASPECTOS INTERPRETATIVOS
Libro blanco sobre la función de Compliance

7
8
No es el objeto de este Libro Blanco definir los contenidos de los Programas de
Compliance, que pueden venir determinados por la normativa de aplicación o por
los marcos de referencia adoptados por las organizaciones, como los que figuran en
el Anexo a este documento, por ejemplo.
7
Una organización puede disponer uno o varios Programas de Compliance. Así,
organizaciones sin especial complejidad normativa pueden asumir razonablemente
la prevención, detección y gestión del riesgo derivado del incumplimiento a través
de un solo Programa de Compliance. Sin embargo, en entornos más complejos se
pueden precisar varios Programas de Compliance especializados en ámbitos de
obligaciones concretas (penal, medioambiental, fiscal, defensa de la competencia,
laboral, etc), eventualmente coordinados a través de un Programa transversal o
superestructura de Compliance.
6
Las disposiciones de este Libro Blanco se refieren a las organizaciones, concepto
deliberadamente amplio que comprenderá entidades de carácter privado, público o
incluso organizaciones sin ánimo de lucro, grupos de ellas o incluso a parte de sus
actividades. Todo ello en cuanto proceda, con el fin de garantizar la eficacia de los
cometidos de la función de Compliance y el mejor desempeño de sus responsables.
5
Cubierto el marco jurídico aplicable, los contenidos de este documento se
interpretarán de manera proporcional a las circunstancias de cada organización.
En aquellas de pequeñas dimensiones, donde los contenidos de este Libro Blanco
trasciendan sus capacidades reales, puede igualmente emplearse para el progreso
de sus estructuras de Compliance en el corto, medio o largo plazo.
Libro blanco sobre la función de Compliance

9
1
La función de Compliance asume las tareas de prevención, detección y gestión
de riesgos de Compliance [1.(2)] mediante la operación de uno o varios Programas
de Compliance [1.(3)], contribuyendo a promover y desarrollar una cultura de
cumplimiento en el seno de la organización. Los cometidos esenciales de la función
son los que se desarrollan en el apartado 4 de este documento.
Nota 1 al apartado 1.(1).
La función de Compliance se asocia, en cada caso, a la operación del Programa de Compliance [1.(3)]
que tenga asignado.
En cuanto a la concurrencia de varios Programas de Compliance [1.(3)], véase la Nota 2 al siguiente
apartado 1.(3).
La cultura de cumplimiento o cultura de compliance guarda relación con el respeto y compromiso con
los objetivos de Compliance [4.(3)], que pueden estar recogidos en la Política de Compliance [4.(3)],
traduciéndose en conductas alineadas con ellos.
La función de Compliance [1.(1)] contribuye a promover la cultura de cumplimiento en el seno de la
organización, sin perjuicio de que la responsabilidad principal en la consecución de este propósito
corresponde a su órgano de gobierno y alta dirección.
Estructuras de la función
de Compliance1

10
Libro blanco sobre la función de Compliance 1. Estructuras de la función de Compliance
2
SonriesgosdeCompliancelosrelacionadosconelincumplimientodelasobligaciones
de Compliance, esto es, aquellas que una organización debe cumplir, y también las
que elige voluntariamente cumplir.
Las obligaciones de Compliance que una organización debe cumplir suelen provenir de órganos con
capacidad legislativa o los poderes públicos. Las obligaciones de Compliance que una organización
elige voluntariamente cumplir suelen recogerse en códigos o políticas internas o sectoriales de
carácter privado que no vienen impuestas por órganos con capacidad legislativa o los poderes
públicos.
El cumplimiento de las obligaciones de Compliance [1.(2)] corresponde a todas y cada una de las
personas de la organización, que deben ejercer la debida diligencia en el conocimiento y cumplimiento
de las vinculadas con sus actividades. La existencia de la función de Compliance [1.(1)] no traslada
esta responsabilidad pero contribuye a ejercerla.
3
La organización determina las obligaciones de Compliance [1.(2)] cuyo riesgo de
incumplimiento prevendrá, detectará y gestionará la función de Compliance [1.(1)] a
través de uno o varios Programas de Compliance [1.(3)].
El órgano de administración de la organización se ocupará de impulsar la determinación de las
obligaciones de Compliance [1.(2)] sobre los que proyectará uno o varios Programas de Compliance a
efectos de la prevención, detección y gestión de los riesgos asociados con su incumplimiento.
La organización puede disponer de uno o varios Programas de Compliance destinados a la prevención,
detección y gestión de riesgos específicos de incumplimiento asociados con las obligaciones de
Compliance [1.(2)] sobre las que se proyectan respectivamente (riesgos penales, de vulneración de la
privacidad, medioambientales, fiscales, regulatorios, etc). También puede disponer de un Programa
de Compliance transversal que asuma o coordine esta pluralidad (superestructura de Compliance).
El Programa o Programas de Compliance con que se dote la organización serán adecuados a sus
circunstancias internas y externas, sobre la base del principio de proporcionalidad. Son circunstancias
internas, por ejemplo, la cifra de negocios de la organización, el número de empleados, la cantidad
de transacciones que ejecuta, las partes con las que mantiene relaciones de negocio, etc. Son
circunstancias externas el marco regulador de la sociedad y sus actividades, las actuaciones e
interpretaciones de los poderes públicos de dicho marco, el riesgo asociado a los mercados en los
que opera, etc.
La organización procurará de que todas sus obligaciones de Compliance [1.(2)] queden sujetas a uno
o varios Programas de Compliance por motivo de ámbitos, materias o bloques de obligaciones de
Compliance [1.(2)]. En este último caso, procurará también que las diferentes áreas o Programas de
Compliance operen de manera coordinada mediante un Programa transversal o superestructura de
Compliance.

11
La organización se cuidará de que tanto el Programa o los Programas de Compliance como los
responsables de operarlos satisfagan los requisitos a los que puedan estar sujetos según el marco
normativo que le resulte de aplicación.
La organización impulsará la verificación de la efectividad del Programa o Programas de Compliance
a través de revisiones desarrolladas por auditoría interna y/o externa.
4
La organización cuidará de que la prevención, detección y gestión de los riesgos
de Compliance [1.(2)] queden sujetos a uno o varios Programas de Compliance [1.(3)]
razonablemente documentados, que fijen claramente su alcance y concreten los
cometidos a desarrollar por la función de Compliance [1.(1)] y sus responsables.
5
La función de Compliance [1.(1)] puede concurrir tanto en organizaciones públicas
como privadas, con y sin ánimo de lucro.
6
El régimen jurídico aplicable a la función de Compliance [1.(1)] deriva de la normativa
aplicable a cada organización y sus operaciones. Las disposiciones de este
documento se interpretarán de conformidad con lo establecido en ese marco legal
u organizativo, que prevalecerá en caso de discrepancias.
7
LafuncióndeCompliance[1.(1)]puededesempeñarsetantoporunórganounipersonal
como colegiado. En cualquier caso, es una función interna de la organización.

12
8
Sin perjuicio de que se trate de una función interna de la organización, la función
de Compliance [1.(1)] puede recurrir al asesoramiento externo o incluso externalizar
algunos de los cometidos establecidos o derivados de la ejecución del Programa
o Programas de Compliance [1.(3)]. Sin perjuicio de ello, la responsabilidad de
operar diligentemente un Programa de Compliance [1.(3)] corresponde al equipo
de Compliance que deba operarlo. En cualquier caso, la responsabilidad última de
supervisión de la correcta ejecución del Programa de Compliance [1.(3)] corresponde
al órgano de administración de la organización y/o sus comisiones delegadas con
atribuciones para ello.
9
Cuando la función de Compliance [1.(1)] se establece como órgano colegiado, se
identificará a la persona que lo representa, en calidad de responsable de Compliance
y/o su máximo representante.
Cuando la organización disponga de un Programa transversal o superestructura de Compliance,
identificará al máximo representante de la misma, así como a los responsables de la operación de
Programas de Compliance [1.(3)] específicos, utilizando una nomenclatura que evite confusiones de
identificación entre unos y otros.
El máximo representante de la función de Compliance [1.(1)] puede recibir denominaciones
diversas, como Chief Ethics & Compliance Officer, Chief Compliance Officer, Presidente del Comité
de Compliance, etc. Igualmente, los responsables de áreas o Programas específicos de Compliance
también pueden denominaciones variadas, como Oficial de prevención penal, Data Privacy Officer,
etc.
10
La función de Compliance [1.(1)] se acomoda a las circunstancias de cada organización,
debiendo disponer de las estructuras y recursos que sean proporcionales a las
mismas.
Las características de la función de Comppliance [1.(1)] en pequeñas y medianas organizaciones
se ajustarán a sus circunstancias, que no son comparables a las de las grandes organizaciones. En
cualquier caso, el objetivo común de todas ellas es promover y mantener una adecuada cultura de
cumplimiento [1.(1)].

13
1
LafuncióndeCompliance[1.(1)]estarádotadadeautonomíasuficienteparadesarrollar
sus cometidos esenciales [4] sin precisar mandatos específicos para ello. A tales
efectos, el órgano de administración de la organización le delegará facultades y
competencias suficientes para desarrollar sus cometidos esenciales [4] de manera
continuada y sin precisar autorización, siempre con objetividad, imparcialidad e
independencia.
2
El órgano de administración de la organización se cuidará igualmente de dotar a
la función de Compliance [1.(1)] de la autoridad y legitimidad suficientes para que
pueda recabar en cualquier momento la información, o acceder a los registros y
documentación que precise para el desarrollo de sus cometidos esenciales [4] en el
seno de la organización.
La autoridad y legitimidad de la función de Compliance [1.(1)] se traduce en una adecuada posición
jerárquica dentro el organigrama de la organización, que le otorgue capacidad para dirigirse de
forma autónoma a otras áreas o funciones de la organización y garantice un acceso rápido así como
la comunicación fluida con el órgano de administración social y sus comisiones delegadas.
Un correcto acceso a la información y documentación implica libre acceso a las personas, órganos y
los registros de la organización que guarden relación directa con los cometidos esenciales [4] de la
función de Compliance [1.(1)].
La organización cuidará de que todo su personal presta apoyo y soporte a los cometidos de la
función de Compliance [1.(1)].
Autonomía de la función
de Compliance2

14
Libro blanco sobre la función de Compliance 2. Autonomía de la función de Compliance
3
El órgano de administración de la organización asignará a la función de Compliance
[1.(1)] los recursos materiales y humanos suficientes para el desarrollo de sus
cometidos esenciales [4] de manera autónoma.
Entre los recursos materiales se incluirá una partida presupuestaria cuya gestión directa
corresponderá a la función de Compliance [1.(1)]. Los responsables [1.(9)] de los Programas de
Compliance [1.(3)] o el máximo representante [1.(9)] de Compliance -en caso de que la organización
disponga de una supererstructura de Compliance- serán consultados antes de concretar el importe
de esta partida presupuestaria que, en cualquier caso, debe guardar proporción a las circunstancias
de la organización. La existencia de tal partida presupuestaria no exime al órgano de administración
de la organización de facilitar dotaciones adicionales para la cobertura de imprevistos.
En relación con las circunstancias de la organización, véase la Nota 3 al apartado 1.(3).
La función de Compliance [1.(1)], sus responsables [1.(9)] y, en particular, el máximo representante
[1.(9)] de Compliance, deben estar en disposición de rendir cuentas sobre el adecuado destino de los
recursos asignados, especialmente en cuanto a las asignaciones económicas recibidas.
4
La autonomía de la función de Compliance [1.(1)] se ejercerá en el ámbito de aspectos
vinculados con sus cometidos esenciales [4].

15
1
La función de Compliance [1.(1)] estará dotada de la máxima independencia, de
forma que su juicio y modo de proceder no estén condicionados por cuestiones
que le impidan o dificulten desarrollar libremente sus cometidos esenciales [4] para
la consecución de los objetivos de Compliance [4.(3)], ni por temor a represalias.
En particular, la función de Compliance [1.(1)] no deberá verse afectada por los objetivos comerciales,
económicos o cualesquiera otros que puedan conculcar su independencia de juicio para sugerir o
promover acciones alineadas con los objetivos de Compliance [4.(3)] o la adecuada operación del
Programa de Compliance [1.(3)].
Las personas integradas en la función de Compliance [1.(1)] no deben participar en la prestación
de servicios y actividades que controlan, para evitar así verse supeditadas o condicionadas por la
influencia indebida que pudieran ejercer personas de otras áreas de actividad de la entidad.
Cualquier persona integrada en la función de compliance [1.(1)] que perciba amenazada su
independencia debe ponerlo en conocimiento del órgano de gobierno de la organización o la
comisión delegada que tenga competencias en materia de ética e independencia, o incluso hacer
uso de los canales internos de denuncias a tales efectos.
Independencia de la
función de Compliance3

16
2
Elnombramiento,evaluacióndeldesempeñoydestitucióndelmáximorepresentante
[1.(9)] de la función de Compliance [1.(1)] recaerá en el órgano de administración de
la organización o en la comisión delegada del mismo que tenga atribuidas tales
competencias.
El nombramiento, evaluación del desempeño y destitución del máximo representante [1.(9)] de la
función de Compliance [1.(1)] tanto puede corresponder directamente al órgano de administración
de la organización, como de alguna de sus comisiones delegadas, obligatorias o voluntarias
(comisión de auditoría, comisión de responsabilidad social corporativa, comisión de nombramientos
o comisión de retribuciones, por ejemplo). Constituye un factor de independencia que formen parte
de dicho órgano o sus comisiones delegadas consejeros independientes. Cuando este sea el caso, la
organización procurará que alguna de esas comisiones asuma dichas tareas.
3
En cualquier caso, tanto el cese como la destitución del máximo representante [1.(9)]
de la función de Compliance [1.(1)] precisará estar fundamentada por escrito, con
expresión concreta y razonada de los motivos correspondientes.
La organización podrá complementar el proceso de cese o destitución del máximo representante
[1.(9)] de la función de Compliance [1.(1)] garantizando su comparecencia ante el órgano de gobierno
o comisión delegada correspondiente, a fin de que pueda manifestarse libremente ante ellos.
Los fundamentos reales para el cese o destitución de máximo representante [1.(9)] de la función
de Compliance [1.(1)] no pueden guardar relación con el desempeño razonable de sus cometidos
esenciales [4].
4
La valoración del desempeño de las personas integradas en la función de Compliance
[1.(1)] no deberá estar condicionada por la opinión de funciones o áreas de la
organización potencialmente afectadas por sus actuaciones.
Se excluye de tal circunstancia al propio órgano de administración de la organización y sus comisiones
delegadas.

17
5
La retribución de las personas que integran la función de Compliance [1.(1)] no
podrá depender de los objetivos comerciales ni los resultados económicos de la
organización, y será acorde a la relevancia de sus cometidos.
En particular, la valoración y retribución de las personas que integran la función de Compliance [1.(1)]
no debe afectada por el desempeño o resultado de las áreas de negocio o actividades que controlen.
La retribución tanto de los responsables [1.(9)] como del máximo representante [1.(9)] de la función
de Compliance [1.(1)] consistirá principalmente una cantidad fija. No obstante, una fracción de la
misma puede depender de su desempeño en la operación del Programa o Programas de Compliance
[1.(3)] que tengan asignados, así como de logros vinculados a sus cometidos esenciales [4]. Ni la
parte fija ni la variable de la retribución deben vincularse con objetivos comerciales o los resultados
económicos de la organización.

19
1
La función de Compliance [1.(1)] es responsable de operar con autonomía el Programa
deCompliance[1.(3)] quetengaasignado,salvaguardandosuindependenciayvelando
por el trato confidencial que precisen las informaciones o documentos a los que
tenga o pueda tener acceso. Sus cometidos esenciales son los que se regulan en
este apartado.
2
Los cometidos esenciales de la función de Compliance [1.(1)] guardan relación con la
finalidad del Programa de Compliance [1.(3)], esto es, prevenir, detectar y gestionar
riesgos de Compliance [1.(2)] para cumplir con los objetivos de Compliance [4.(3)]
determinados por la organización.
Puesto que el cumplimiento de las obligaciones de Compliance [1.(2)] afecta a todas y cada una de
las personas de la organización, a ellas corresponde involucrarse en la prevención y detección de
los riesgos de Compliance [1.(2)], especialmente cuando lideran equipos o desempeñan labores de
control o supervisión. No obstante, informarán de ello y canalizarán su gestión a través de la función
de Compliance [1.(1)].
Cometidos esenciales de
la función de Compliance4

20
Libro blanco sobre la función de Compliance 4. Cometidos esenciales de la función de Compliance
3
La función de Compliance [1.(1)] impulsará, en caso de no existir, la creación y difusión
de una Política de Compliance donde consten los objetivos de Compliance acordados
por la organización, la involucración de todo su personal en su consecución, y
las estructuras de Compliance dispuestas para auxiliar en esa labor. El órgano de
administración de la organización se cuidará de aprobar y brindar de la máxima
difusión a dicho documento.
Nota 1 al aparatado 4.(3).
La Política de Compliance tanto puede ser general, en el caso de superestructuras de Compliance,
como referida a ámbitos específicos de Compliance, en caso de Programas de Compliance [1.(3)]
proyectados sobre ámbitos, materias u obligaciones de Compliance [1.(2)] específicas.
La función de Compliance [1.(1)] cuidará de que tanto el personal de la organización como los
terceros con los que ésta se vincule –en caso de serles de aplicación- puedan acceder a la Política
de Compliance.
Los objetivos de Compliance figurarán en la Política de Compliance de la organización, que respaldará
la autoridad de la función de Compliance [1.(1)] y sus responsables [1.(9)] y/o máximo representante
[1.(9)], e incluirá un compromiso de conocimiento y respeto a las obligaciones de Compliance [1.(2)],
así como no tolerancia respecto de las conductas que puedan poner en riesgo esos objetivos
esenciales.
En organizaciones de pequeñas dimensiones, la Política o Políticas de Compliance pueden estar
integradas en documentos de alcance general, donde se traten otros aspectos relevantes para la
organización no necesariamente vinculados con los objetivos de Compliance.
La organización impulsará la existencia de uno o varios canales a través de los cuales los destinatarios
de la Política o Políticas de Compliance puedan realizar consultas, plantear inquietudes o denunciar
de buena fe posibles transgresiones de su contenido. El máximo representante [1.(9)] de la función
de Compliance [1.(1)] y/o el responsable [1.(9)] del Programa de Compliance [1.(3)] que por motivo de
materia proceda, deberán conocer las comunicaciones que se gestionen a través de dichos canales
y asegurar que se gestionan según disponga el Programa o los Programas de Compliance [1.(3)]. En
relación con los canales de denuncia véase también el apartado 4.5 de este Libro Blanco.
4
La función de Compliance [1.(1)] velará por que la organización se vincule con personas
afines a sus objetivos de Compliance [4.(3)] y Política de Compliance [4.(3)], ya sean
empleados o terceros con los que se mantengan relaciones de cualquier naturaleza.
Emitirá al respecto las sugerencias oportunas al órgano de administración de la
organización, sus comisiones delegadas, alta dirección o cargos con capacidades
decisorias sobre el inicio, mantenimiento o cancelación de tales vínculos con ellas.

21
La función de Compliance
y las obligaciones de Compliance
Identificación de las obligaciones de Compliance
4.1
4.1.1
1
Los cometidos esenciales [4] de la función de Compliance [1.(1)] en relación con la
operación del Programa de Compliance [1.(3)] que deba operar, se desarrollan en los
apartados siguientes.
1
El órgano de administración se cuidará de impulsar la identificación de las
obligaciones de Compliance [1.(2)] que afectan a la organización, y de asignar la
prevención, detección y gestión de los riesgos derivados de su incumplimiento a
uno o varios Programas de Compliance [1.(3)].
Nota 1 al apartado 4.1.1.(1).
La organización puede disponer de uno o varios Programas de Compliance [1.(3)]. Cada Programa de
Compliance [1.(3)] tendrá asignado un responsable [1.(9)] de su operación.
En cuanto a la concurrencia de varios Programas de Compliance [1.(3)], véase también la Nota 2 al
apartado 1.(3).
La responsabilidad de operar cada Programa de Compliance [1.(3)] corresponde al responsable [1.(9)]
al que la organización asigne su operación. En caso de un Programa trasversal o superestructura
de Compliance que coordine esta diversidad, la responsabilidad de operar y rendir cuentas por la
adecuada operación de los Programas específicos corresponde a sus respectivos responsables
[1.(9)], sin perjuicio de la que también pueda corresponder en materia de supervisión y coordinación
general al máximo representante [1.(9)] de la función de Compliance [1.(1)].

22
2
La función de Compliance [1.(1)] se cuidará de operar el Programa de Compliance [1.(3)]
que le haya sido asignado, y que se proyectará sobre los riesgos de Compliance [1.(2)]
identificados por la organización que son objeto de dicho Programa de Compliance
[1.(3)].
Actualización de las obligaciones de Compliance
Difusión de las obligaciones de Compliance
4.1.2
4.1.3
1
La función de Compliance [1.(1)] velará por que la organización disponga de un
conocimiento actualizado de las obligaciones de Compliance [1.(3)] cuyo riesgo de
incumplimiento previene, detecta y gestiona operando el Programa de Compliance
[1.(2)] que tiene asignado.
Puesto que el volumen y naturaleza de las obligaciones de Compliance [1.(2)] sobre las que se
proyectan uno o varios Programas de Compliance [1.(3)] pueden ser amplios, especialmente en las
superestructuas de Compliance, los cometidos de seguimiento y actualización de las mismas puede
recaer en otras funciones o áreas especializadas en la organización. En tales casos, la función de
Compliance [1.(1)] se asegurará de que existe una atribución de responsabilidad en tal sentido hacia
las funciones o áreas correspondientes, y de que desempeñan razonablemente tal cometido.
1
La función de Compliance [1.(1)] cuidará de que las normas o documentos de los
que deriven obligaciones de Compliance [1.(2)] sean accesibles a los colectivos que
precisen consultar sus contenidos.
Nota 1 al apartado 4.1.3.(1)
La función de Compliance [1.(1)] se asegurará de que la función o área de la organización que tenga
atribuida la responsabilidad del seguimiento de las obligaciones de Compliance, cuando no sea la
propia función de Compliance [1.(1)], facilita el acceso a sus contenidos a las personas que lo precisen.

23
2
La función de Compliance [1.(1)] tratará que las obligaciones de Compliance
[1.(2)] derivadas de las normas o documentos anteriores sean adecuadamente
comprendidos por los colectivos a los que afecte, impulsando las acciones de
formación y concienciación [4.3] oportunas.
Asignación de responsabilidades
en cuanto a las obligaciones de Compliance4.1.4
1
La función de Compliance [1.(1)] promoverá que todo el personal de la organización
conozca los deberes y expectativas depositadas en él respecto de las obligaciones
de Compliance [1.(2)] que le afectan.
La función de Compliance [1.(1)] puede impulsar la documentación y difusión de tales expectativas de
forma general en la Política de Compliance [4.(3)], o también de manera individualizada mediante una
descripción detallada de las obligaciones de Compliance [1.(2)] específicas que afectan a cada una
de las posiciones o cargos de la organización en documentos organizativos de descripción funcional.
La función de Compliance [1.(1)] impulsará acciones de formación y concienciación [4.3] para que el
personal de la organización conozca las expectativas depositadas en él en materia del cumplimiento
de las obligaciones de Compliance [1.(2)] que le afectan.
La función de Compliance [1.(1)] se ocupará de establecer mecanismos a través de los cuales el
personal de la organización pueda declarar el conocimiento de las obligaciones de Compliance [1.(2)]
que le afectan, en forma de confirmaciones periódicas.
2
La función de Compliance [1.(1)] promoverá que el nivel de diligencia en el
conocimiento y observancia de las obligaciones de Compliance [1.(2)] tanto del
personal de la organización como de los eventuales terceros con los que ésta se
vincula, condicionen el tratamiento que la organización les dispensa.
En relación con el personal de la organización, la función de Compliance [1.(1)] tratará de que su
nivel de alineación con los objetivos de Compliance [4.(3)] constituya un factor de valoración de su
desempeño profesional, capacidades de promoción y retribución, dentro del marco legal aplicable.

24
En relación con terceros con los que la organización mantenga vínculos, la función de Compliance
[1.(1)] tratará de que su nivel de alineación con los objetivos de Compliance [4.(3)] constituya un
factor determinante del inicio, continuidad, suspensión, o cancelación de la relación jurídica con
ellos, dentro del marco legal aplicable.
La función de Compliance [1.(1)] puede impulsar el establecimiento de elementos de medición
(indicadores clave) del nivel de diligencia o alineación con los objetivos de Compliance [4.(3)]. En
el caso de empleados, por ejemplo, puede mesurar la asistencia y nivel de aprovechamiento de
la formación de Compliance, el cumplimiento de las políticas y procedimientos de Compliance,
la facilitación en tiempo y forma de documentación o información requeridas, etc. En el caso de
terceros, puede comprobar el nivel de cumplimiento de sus propias obligaciones de Compliance,
según información pública al respecto, la facilitación en tiempo y forma de información completa y
veraz relacionada con ello, etc.
Integración de las obligaciones de Compliance
en los procesos de negocio4.1.5
1
La función de Compliance [1.(1)] velará por integrar las obligaciones de Compliance
[1.(2)] dentro de los procesos de negocio de la organización, de manera que darles
cumplimiento sea una parte más de los mismos, evitando que constituyan
formalidades o requisitos paralelos o adicionales.
2
La función de Compliance [1.(1)] velará porque las políticas, procedimientos y
controles ya existentes en la organización incluyan los contenidos apropiados
para dar cumplimiento a las obligaciones de Compliance [1.(2)] objeto del Programa
de Compliance [1.(3)] que debe operar, o impulsará las políticas, procedimientos y
controles adicionales que los contemplen, en caso de que los anteriores no existan.
La función de Compliance [1.(1)] dará cumplimiento a este objetivo de manera directa, o asegurándose
de que otra función o área tiene atribuidas tales competencias y las ejerce de manera razonable.

25
La función de Compliance
y los riesgos de Compliance4.2
1
La función de Compliance [1.(1)] se ocupará de que se identifiquen, analicen y valoren
los riesgos de Compliance [1.(2)] objeto del Programa de Compliance [1.(3)] que debe
operar.
Nota 1 al apartado 4.2.(1).
La organización velará por que el Programa o Programas de Compliance [1.(3)] operados por la
función de Compliance [1.(1)] adopten una aproximación basada en el riesgo, con el fin de asignar
los recursos para su prevención, detección y gestión de manera eficiente. Por ello, la identificación,
análisis y valoración de los riesgos de Compliance [1.(2)] constituye una actividad clave que debe
documentarse.
La identificación de los riesgos de Compliance [1.(2)] tanto puede desarrollarse por la función de
Compliance [1.(1)] como por otras funciones o áreas de la organización relacionadas con la supervisión
y/o el control. En este último caso, la organización se cuidará de que la función de Compliance [1.(1)]
esté habilitada para promover esa identificación y de que reciba la información correspondiente.
La identificación y evaluación de los riesgos de Compliance [1.(2)] correspondientes se realizará
periódicamente, sea de manera programada, cuando se produzcan alteraciones en las circunstancias
de la organización o incidentes relacionados con el incumplimiento de las obligaciones de Compliance
[1.(2)].
Nota 4 al aparado 4.2.(1).
2
En la identificación, análisis y valoración de los riesgos de Compliance [1.(2)] se
empleará una metodología adecuada a las circunstancias de la organización.
Nota 1 al aparado 4.2.(2).

26
Identificación de riesgos de Compliance4.2.1
1
La identificación de los riesgos de Compliance [1.(2)] consiste en conocer aquellos
asociados con el incumplimiento de las obligaciones de Compliance [1.(2)] y que son
objeto de uno o varios Programas de Compliance [1.(3)].
Los riesgos asociados con el incumplimiento de las obligaciones de Compliance [1.(2)] tanto pueden
ser de naturaleza económica (sanciones, pérdidas financieras, etc) como reputacional.
En cuanto a la concurrencia de varios Programas de Compliance [1.(3)], véase especialmente la Nota
2 al apartado 1.(3).
2
Por consiguiente, la identificación de los riesgos de Compliance [1.(2)] se proyectará
sobre las obligaciones de Compliance [1.(2)] que la organización ha decidido incluir
dentro del alcance de uno o varios Programas de Compliance [1.(3)] para prevenirlos,
detectarlos y gestionarlos.

27
Análisis de los riesgos de Compliance
Valoración de los riesgos de Compliance
4.2.2
4.2.3
1
Una vez identificados los riesgos de Compliance [1.(2)], el análisis de los mismos se
efectuará atendiendo a las amenazas que exponen a la organización, considerando
sus circunstancias y dentro de un ejercicio racional de previsión.
2
El análisis de los riesgos de Compliance [1.(2)] tendrá en cuenta la probabilidad de
que se materialicen, y las consecuencias que se producirían en tal caso.
1
Una vez identificados y analizados los riesgos de Compliance [1.(2)], se categorizarán
según su relevancia, determinando una priorización que ayude a la organización y
a la función de Compliance [1.(1)] a administrar razonablemente los recursos para su
prevención, detección y gestión a través del Programa de Compliance [1.(3)] que debe
operar.
2
A efectos de categorizar los riesgos de Compliance [1.(2)] se tendrá en cuenta el nivel
de amenaza que suponen, de acuerdo con el análisis realizado.
La probabilidad de ocurrencia y las consecuencias de su materialización son factores determinantes
de la priorización de los riesgos de Compliance [1.(2)] y, por lo tanto, de la asignación de recursos
razonables para su prevención, detección y gestión

28
Identificación de los controles de Compliance4.2.4
1
Priorizados los riesgos de Compliance [1.(2)], la función de Compliance [1.(1)] se ocupará
de identificar las políticas, procedimientos y controles que la organización dispone
para prevenir, detectar y gestionar aquellos que formen parte del alcance del
Programa de Compliance [1.(3)] que debe operar.
2
La función de Compliance [1.(1)] propondrá la incorporación de nuevas políticas,
procedimientos o controles, o la modificación de los existentes, para mejorar las
labores de prevención, detección y gestión de los riesgos de Compliance [1.(2)],
propios del Programa de Compliance [1.(3)] que debe operar.
3
La función de Compliance [1.(1)] participará activamente en el diseño y control de la
observancia de políticas, procedimientos y controles relacionados con el Programa
de Compliance [1.(3)] que debe operar.

29
Valoración de los controles de Compliance4.2.5
1
LafuncióndeCompliance[1.(1)] impulsarálavaloracióndelaspolíticas,procedimientos
y controles de Compliance a efectos de contrastar su adecuación para la prevención,
detección y gestión de los riesgos de Compliance [1.(2)] sobre los que se proyecta el
Programa de Compliance [1.(3)] que debe operar. Dicha valoración implica considerar
tanto el diseño como la eficacia de dichos elementos.
2
A efectos de procurar la eficacia de las políticas, procedimientos y controles de
Compliance, la función de Compliance [1.(1)] velará por que se apliquen de manera
uniforme y consistente en la organización, de modo que puedan cumplir
razonablemente su función de prevención, detección y respuesta ante los riesgos
de Compliance [1.(2)] sobre los que se proyecta el Programa de Compliance [1.(3)] que
debe operar.que se materialicen, y las consecuencias que se producirían en tal caso.

30
Formación y concienciación4.3
1
La función de Compliance [1.(1)] se ocupa de que el personal de la organización
reciba formación recurrente para mejorar el conocimiento de las obligaciones de
Compliance [1.(2)] que afectan a su trabajo ordinario, los riesgos de incumplimiento
derivados de ellas, así como las políticas, procedimientos y controles vinculados
con el Programa de Compliance [1.(3)] que guarden relación con lo anterior. A tales
efectos, administrará los recursos facilitados por la organización para impulsar los
ciclos formativos oportunos.
La formación en materia de Compliance puede ser planificada dentro del ejercicio social, o
también puntual a causa de variaciones en las circunstancias de la organización, o por motivo de
incorporaciones o variaciones en las responsabilidades del personal.
Nota 2 al apartad 4.3.(1).
En relación con las circunstancias internas y externas de una organización, véase la Nota 3 al apartado
1.(3).
En caso de concurrir en una misma organización varias áreas o Programas de Compliance [1.(3)], cada
uno de sus responsables [1.(9)] adquirirá la obligación de impulsar los ciclos formativos y acciones
de concienciación correspondientes. Cuando estas áreas o Programas de Compliance [1.(3)] se
encuentren subsumidas o coordinadas por un Programa de naturaleza transversal (superestructura
de Compliance), será el máximo representante [1.(9)] de la función de Compliance [1.(1)] quien deba
velar por que se impulsan y coordinan de manera razonable los ciclos formativos y acciones de
concienciación.
El hecho de que la función de Compliance [1.(1)] impulse ciclos formativos no sustituye la obligación
de conocer las obligaciones de Compliance [1.(2)] que incumbe a todas y cada una de las personas
de la organización en función de su ocupación específica, y de la que deben responsabilizarse
individualmente.

31
2
A los efectos anteriores, la función de Compliance [1.(1)] podrá identificar en el seno
de la organización, colectivos de empleados sujetos a diferentes exigencias de
Compliance para adecuar a sus necesidades específicas los contenidos formativos
y su recurrencia.
La función de Compliance [1.(1)] procurará el desarrollo de sesiones formativas tanto de contenido
genérico, como específico dirigidas a aquellos destinatarios en los que estime una mayor exposición
a riesgos de Compliance [1.(2)].
3
Con independencia de lo anterior, la función de Compliance [1.(1)] se ocupará de
impulsar campañas de concienciación a efectos de sensibilizar al personal de la
organización sobre los riesgos de Compliance [1.(2)] y las políticas, procedimientos y
controles dispuestos para su prevención, detección y gestión mediante el Programa
de Compliance [1.(3)] que debe operar.
4
Puesto que el Código Ético, Código de conducta o norma equivalente que recoge
los valores de la organización constituye un texto fundamental a los efectos de
promover la cultura de cumplimiento [1.(1)], la función de Compliance [1.(1)] velará
por que sea fácilmente accesible por parte del personal de la organización y de
los terceros que se vinculan con ella, incluyendo sus contenidos en las sesiones
formativas o campañas de concienciación que impulse.


32
Asesoramiento y reporte4.4
1
La función de Compliance [1.(1)] se ocupará de facilitar asesoramiento ordinario
al personal de la organización para solventar sus dudas de las obligaciones
de Compliance [1.(2)] vinculadas con el Programa de Compliance [1.(3)] que debe
operar. Adicionalmente, se ocupará de asesorar al órgano de administración de
la organización o sus comisiones delegadas y a la alta dirección en materia de
cumplimiento de las obligaciones de Compliance [1.(2)], los riesgos de Compliance
[1.(2)] y el impacto que puedan tener cambios en la legislación o en su interpretación.
2
Igualmente, se ocupará de reportar de manera fluida y periódica aspectos
relacionados con la ejecución del Programa o Programas de Compliance [1.(3)]
mediante reportes operativos, memorias anuales o eventuales comunicaciones
urgentes.
La cadena de reporte de Compliance puede trascender a la organización. El marco legal de
aplicación puede exigir que algunos reportes de Compliance sean facilitados a órganos supervisores
o administraciones públicas. En tal caso, el responsable [1.(9)] del Programa de Compliance [1.(3)]
afectado por esta obligación advertirá de tal circunstancia al máximo responsable [1.(9)] de la
función de Compliance [1.(1)], en caso de concurrir. En cualquier caso, tal circunstancia deberá ser
comunicada al órgano de gobierno de la organización o sus comisiones delegadas. La función de
Compliance [1.(1)] procederá según exija el marco legal de aplicación.

33
Asesoramiento a la organización4.4.1
1
El asesoramiento que desarrolla la función de Compliance [1.(1)] tiene como objeto
valorar la adecuación de las materias objeto de consulta a los objetivos de
Compliance [4.(3)] declarados por la organización en la Política de Compliance [4.(3)] y,
en particular, a su consistencia con el Programa o Programas de Compliance [1.(3)]
que debe operar. También mantener a la organización prevenida de cambios o
modificaciones -actuales o previsibles- en la legislación o en su interpretación que
le puedan afectar significativamente.
Los objetivos de Compliance [4.(3)] figurarán la Política de Compliance [4.(3)].
2
Los cometidos de asesoramiento de la función de Compliance [1.(1)] no implican
la asunción de competencias decisorias ni traslación de las responsabilidades
derivadas de las acciones u omisiones de los órganos sociales, alta dirección o
cargos de la organización con atribuciones legales para ello.

34
Reportes operativos4.4.2
1
La función de Compliance [1.(1)] a través de su máximo representante [1.(9)] reportará
de forma recurrente al órgano de administración de la organización, su comisión
delegada correspondiente y a la alta dirección las informaciones relevantes de
la ejecución del Programa o Programas de Compliance [1.(3)] que debe operar, de
manera que aquel o aquellas se encuentren puntualmente informadas de su
marcha y puedan adoptar a tiempo las decisiones procedentes para la consecución
de los objetivos de Compliance [4.(3)] de la organización y la efectividad del Programa
o Programas de Compliance [1.(3)] establecidos para alcanzarlos. Informará en ellos
de incidentes e irregularidades relacionadas con la ejecución del Programa o
Programas de Compliance [1.(3)] que debe operar, especialmente cuando supongan
incumplimientos de las obligaciones de Compliance [1.(2)]. Cuando la organización
haya fijado una superestructura de Compliance para coordinar diferentes áreas o
Programas de Compliance [1.(3)], corresponderá al máximo representante [1.(9)] de la
función de Compliance [1.(1)] impulsar el reporte consolidado.
En caso de reporte consolidado sobre diferentes áreas o Programas de Compliance [1.(3)], el máximo
representante [1.(9)] de la función Compliance [1.(1)] debe advertir en él sobre aquellos ámbitos,
materias o áreas que siendo objeto de coordinación a través de una superestructura de Compliance,
no se incluyen en el mismo, señalando los motivos.
Los objetivos de Compliance figurarán en la Política de Compliance [4.(3)] correspondiente.
2
Los reportes operativos de Compliance no sólo informarán de aspectos relacionados
con la marcha del Programa o Programas de Compliance [1.(3)] y sus eventuales
modificaciones y mejoras, sino que también podrán elevar la adopción de las
decisiones que se precisen y corresponda tomar al órgano de administración de
la organización, sus comisiones delegadas, la alta dirección u otros cargos con
atribuciones para ello.

35
La función de Compliance [1.(1)] mantendrá en los reportes operativos la información relativa a
incidentes o irregularidades relacionadas con la ejecución del Programa de Compliance [1.(3)] que
debe operar en tanto en cuanto no se subsanen completamente.
Memorias anuales4.4.3
1
La función de Compliance [1.(1)], a través de sus responsables [1.(9)], resumirá las tareas
desarrolladas durante el ejercicio social al operar el Programa de Compliance [1.(3)]
asignado en una memoria anual de Compliance, dirigida al órgano de administración
de la organización o la comisión delegada correspondiente. Cuando la organización
haya fijado una superestructura de Compliance para coordinar diferentes áreas o
Programas de Compliance [1.(3)], corresponderá al máximo representante [1.(9)] de la
función de Compliance [1.(1)] elaborar y presentar una Memoria anual consolidada.
En caso de memoria consolidada sobre diferentes áreas o Programas de Compliance [1.(3)], el
máximo representante [1.(9)] de la función Compliance [1.(1)] debe advertir en ella sobre aquellos
ámbitos, materias o áreas que siendo objeto de coordinación a través de una superestructura de
Compliance, no se incluyen en el mismo, señalando los motivos.
Las memorias anuales podrán hacer referencia a las acciones impulsadas o ejecutadas por la función
de Compliance [1.(1)] en relación con sus cometidos esenciales [4].
Entre otros aspectos, las Memorias anuales pueden también hacer referencia a:
- Identificación de las áreas de riesgo en el ámbito del Programa de Compliance [1.(3)] que debe
operar la función de Compliance [1.(1)].
- Descripción de la aplicación y eficacia de las políticas, procedimientos y controles establecidos, con
un resumen de las tareas de supervisión y monitorización efectuadas, sea a distancia o mediante
visitas in-situ.
- Detalle de los principales tipos de irregularidades o incidentes relacionados con el Programa de
Compliance [1.(3)] que debe operar la función de Compliance [1.(1)], especialmente los relacionados
con el incumplimiento de las obligaciones de Compliance [1.(2)].
- Descripción de los planes de acción sugeridos para corregir los incidentes, deficiencias o
incumplimientos detectados.
-Cambiossustanciales,actualesoprevisibles,enlalegislaciónoensuinterpretaciónquepuedantener
una incidencia significativa en materia de las obligaciones de Compliance [1.(2)] sujetas al Programa
de Compliance [1.(3)], y sugerencia de las medidas a adoptar para facilitar que la organización se
adapte a ellas.

36
- Relaciones o comunicaciones relevantes mantenidas con el regulador, el supervisor u órganos de la
administración o jurisdicción, incluyendo las relacionadas con sanciones.
- Otros aspectos relevantes.
En cuanto a la concurrencia de varios Programas de Compliance [1.(3)], véase también la Nota 2 al
apartado 1.(3).
Comunicaciones urgentes4.4.4
1
Con independencia de elaborar y dar curso a los reportes operativos y memorias
anuales, la función de Compliance [1.(1)], a través de sus responsables [1.(9)], se ocupará
de informar inmediatamente al órgano de administración de la organización o a sus
comisionesdelegadasdeaquellosincidentesoirregularidadesque,porsugravedad,
puedan causar daños económicos o reputacionales significativos a la organización,
especialmente cuando deriven del incumplimiento de obligaciones de Compliance
[1.(2)]. Ese cometido corresponderá al máximo representante [1.(9)] de la función de
Compliance [1.(1)] cuando la organización haya dispuesto una superestructura de
Compliance a efecto de coordinar diferentes áreas o Programas de Compliance [1.(3)]
sobre ámbitos u obligaciones de Compliance [1.(2)] específicas.
Ante incidentes o irregularidades graves asociadas con el incumplimiento de obligaciones de
Compliance [1.(2)] el responsable [1.(9)] del área o Programa de Compliance [1.(3)] afectado tendrá en
cuenta las obligaciones de comunicación a las autoridades competentes que le vengan impuestas
por el marco legal aplicable a la organización (comunicación al órgano supervisor, por ejemplo),
trasladando tal circunstancia al máximo.

37
Canales internos de denuncia4.5
1
La organización procurará establecer uno o varios canales a través de los
cuales empleados y eventualmente terceros puedan realizar comunicaciones
confidenciales relacionadas con el Código Ético, Código de conducta o norma de
alto nivel equivalente.
2
La función de Compliance [1.(1)] intervendrá en la supervisión de la tramitación de
reclamaciones o denuncias a través de los canales internos que tenga establecida la
organización.Susresponsables[1.(9)] y,encasodeconcurrir,elmáximorepresentante
[1.(9)] de la función de Compliance [1.(1)] estarán directamente involucrados en estos
cometidos.
3
La función de Compliance [1.(1)] velará para que los canales internos de denuncia
sean fácilmente accesibles, conocidos, confidenciales y garanticen los derechos
de que sean titulares las personas cuyos datos sean tratados, garantizando la no
adopción de represalias frente a comunicaciones realizadas de buena fe.

38
Mantenimiento de documentación4.6
1
La función de Compliance [1.(1)] se ocupará de que tanto la documentación del
Programa o Programas de Compliance [1.(3)] que debe operar, como la derivada de
su ejecución, se encuentren debidamente archivadas en la organización.
2
Igualmente, la función de Compliance [1.(1)] se cuidará de que sólo tengan acceso
a dicha documentación las personas que estén legitimadas para ello. En tal caso,
garantizará la accesibilidad inmediata a la misma.
La legitimidad de las personas para acceder a la documentación relacionada con los cometidos
esenciales [4] de la función de Compliance [1.(1)] puede venir determinada por la normativa aplicable,
amparada por mandato de los poderes públicos, o establecida en los documentos o políticas de la
propia organización.

39
1
La función de Compliance [1.(1)] se ocupará de monitorizar el Programa de Compliance
[1.(3)] que debe operar, de modo que se mantenga adecuado para prevenir, detectar
y gestionar el riesgo de incumplimiento de las obligaciones de Compliance [1.(2)]
sobre las que se proyecta.
A los efectos de desarrollar una adecuada supervisión del Programa de Compliance [1.(1)], sus
responsables [1.(9)] y, en caso de concurrir, el máximo representante [1.(9)] de la función de
Compliance [1.(1)], fijarán y desarrollarán supervisiones periódicas, así como planes de visita in-situ
que les permita constatar su efectiva aplicación en las localizaciones, funciones o unidades de
negocio que se hallen dentro del perímetro de aplicación del Programa o Programas de Compliance
[1.(3)].
Entre las materias sujetas a revisión para garantizar una adecuada aplicación del Porgrama o
Programa de Compliance [1.(3)] figurarán:
- El adecuado entendimiento de las obligaciones de Compliance [1.(2)] por parte de las personas a
las que afecten.
- El adecuado cumplimiento de las políticas, procedimientos y controles establecidos por la
organización para facilitar el cumplimiento de las obligaciones de Compliance [1.(2)], especialmente
aquellas que vengan establecidas en el marco legal de aplicación.
Dentro de sus cometidos de monitorización, la función de Compliance [1.(1)], prestará especial
atención a que se comprendan y existan medidas organizativas razonables para el cumplimiento de
las obligaciones de Compliance [1.(2)] relacionadas con:
- Los procesos de selección, contratación y mantenimiento de la relación contractual con empleados
y terceros.
- Los procesos relacionados con lo establecido en las normas y reglamentos de conducta.
- Los procesos relacionados con la gestión de los conflictos de interés.
- Los procesos relacionados las restricciones a operaciones con clientes, proveedores o socios de
negocio en general.
Monitorización del
Programa de Compliance5

40
Libro blanco sobre la función de Compliance 5. Monitorización del Programa de Compliance
- Los procesos relacionados con las restricciones o salvaguardas en operaciones con terceros y
las operaciones vinculadas, incluyendo la de los socios, administradores y altos directivos con la
sociedad o respecto de sus activos y propios títulos.
- Los procesos relacionados con la creación y difusión de nuevos servicios y productos o reevaluación
de los existentes, así como relacionados con la información o publicidad relativa a los mismos.
- Los procesos relacionados con comunicaciones a las autoridades, incluyendo organismos
reguladores, supervisores y otras instancias administrativas o judiciales.
2
LafuncióndeCompliance[1.(1)]coordinarálasaccionesdesupervisiónymonitorización
que desarrolle respecto del Programa de Compliance [1.(3)] que debe operar, con
las actividades de supervisión y monitorización que estén llevando a cabo otras
áreas o Programas de Compliance [1.(3)] o incluso de las que desarrollen otras áreas
de control o supervisión de la organización no integradas dentro de la función de
Compliance [1.(1)].
Cuando la organización disponga de una superestructura de Compliance coordinando diferentes
áreas o Programas de Compliance [1.(3)], corresponde a su máximo representante [1.(9)] la
coordinación de las actividades de supervisión y monitorización.
En cuanto a la concurrencia de varios Programas de Compliance [1.(3)], véase la Nota 2 al apartado
1.(3).
3
La función de Compliance [1.(1)] incluirá las acciones desarrolladas y los resultados
obtenidos de las actividades de monitorización, en los reportes operativos,
memorias anuales o reportes urgentes, según proceda.

41
1
La organización se ocupará de que la función de Compliance [1.(1)] disponga de
capacidad, autoridad y legitimidad suficiente para desarrollar sus cometidos
esenciales [4].
2
La función de Compliance [1.(1)] puede estar integrada por personal con dedicación
parcial o exclusiva, dependiendo de las necesidades efectivas de la organización y,
por lo tanto, el contenido de su Programa de Compliance [1.(3)].
Las necesidades de Compliance de cada organización vienen condicionadas por sus circunstancias
internas y externas.
En relación con las circunstancias internas y externas de una organización, véase la Nota 3 al apartado
1.(3).
En organizaciones pequeñas y medianas la función de Compliance [1.(1)] puede desarrollarse por
el propio órgano de administración social, cuando así venga reconocido por la normativa aplicable.
Perfil y responsabilidades
del Compliance Officer6

42
3
En cualquier caso, la organización garantizará que las personas que desarrollan
cometidos en el seno de la función de Compliance[1.(1)] disponen de tiempo suficiente
para acometer las tareas que determina el Programa o los Programas de Compliance
[1.(3)] que deben operar.
4
La organización cuidará de que las personas integradas en la función de Compliance
[1.(1)] sean suficientes para acometer sus cometidos esenciales [4] y dispongan de
nivel formativo así como la experiencia adecuada para desarrollar las tareas que
determina Programa de Compliance [1.(3)] que deben operar.
Libro blanco sobre la función de Compliance 6. Perfil y responsabilidades del Compliance Officer
Nivel Formativo6.1
1
LaorganizaciónsecuidarádequelaspersonasqueintegranlafuncióndeCompliance
[1.(1)] dispongan de una formación o acreditación profesional coherente con sus
cometidos esenciales [4], y aquellos otros que pueda determinar el Programa de
Compliance [1.(3)] que deben operar.

43
2
Los responsables [1.(9)] de áreas o Programas específicos de Compliance [1.(3)]
dispondrán de un nivel de formación adecuado para conocer, comprender y difundir
las obligaciones de Compliance [1.(2)] relativas al Programa de Compliance [1.(3)] que
deben operar. Su nivel formativo les permitirá valorar la idoneidad de las políticas,
procedimientos y controles de la organización para la prevención, detección y
gestión de los riesgos de Compliance [1.(2)] objeto del Programa de Compliance [1.(3)]
que deben operan, introducir mejoras en ellos o crearlos en caso de que no existan.
3
El máximo representante [1.(9)] de la función de Compliance [1.(1)], dispondrá de
un nivel de formación adecuado para operar un Programa de Compliance [1.(3)]
transversal y, en su caso, coordinar a los diferentes responsables [1.(9)] de áreas o
Programas específicos de Compliance [1.(3)].
4
La organización se cuidará de que las personas que asumen cometidos relevantes
en la función de Compliance [1.(1)] reciban formación recurrente de calidad, que las
capacite para el desempeño de sus cometidos esenciales [4] y, en particular, operar
adecuadamente el Programa de Compliance [1.(3)] que tengan asignado.

44
Experiencia profesional6.2
1
LaorganizaciónsecuidarádequelaspersonasqueintegranlafuncióndeCompliance
[1.(1)] dispongan de experiencia adecuada al nivel de responsabilidad que asumen
en la operación del Programa de Compliance [1.(3)] que tienen asignado.
2
La existencia de experiencia contrastada en Compliance en ámbitos o materias
específicas de Compliance constituye un requisito indispensable que deben cumplir
tanto los responsables [1.(9)] de áreas o Programas [1.(3)] específicos de Compliance,
como el máximo representante [1.(9)] de la función de Compliance [1.(1)], en el caso
de que concurran.
3
La organización se cuidará de que las personas que vayan a desarrollar cometidos
en el seno de la función de Compliance[1.(1)] dispongan de una trayectoria profesional
alineada con los objetivos de Compliance[4.(3)] y la Política de Compliance[4.(3)]. Evitará,
por consiguiente, incorporar a dicha función personas de las que se conozcan o
puedan conocerse conductas inconsistentes con los objetivos de Compliance [4.(3)]
de la organización y lo establecido en su Política de Compliance [4.(3)].

45
Responsabilidad profesional6.3
1
Se espera que la función de Compliance [1.(1)] ejecute razonablemente los cometidos
esenciales [4] señalados en este documento, así como los adicionales que vengan
establecidos por el marco jurídico de aplicación y/o detallados en el Programa o
Programas de Compliance [1.(3)] que deba operar.
2
Ni la función de Compliance [1.(1)], ni los responsables [1.(9)] de áreas o Programas
específicos de Compliance [1.(3)] o su máximo representante [1.(9)], brindan la
seguridad absoluta de que no se han producido incumplimientos de obligaciones
de Compliance [1.(2)] o de que no vayan a producirse en el seno de la organización.
En cualquier caso, el deber de cumplir con las obligaciones de Compliance [1.(2)] corresponde a todas
y cada una de las personas de la organización. Véase también la Nota 2 al apartado 1.(2).
3
El máximo representante [1.(9)] de la función de Compliance [1.(1)] de la organización
asume la responsabilidad de informar a los órganos de administración, sus
comisiones delegadas y la alta dirección de los hechos relevantes de los que tenga
conocimiento, relacionados con sus cometidos esenciales [4] y con lo establecido
en el Programa o Programas de Compliance [1.(3)] que coordine. Para ello, puede
recurrir a los reportes operativos, memorias anuales y comunicaciones urgentes
que se señalan en este Libro Blanco.

46
4
Sin perjuicio de lo anterior, cada uno de los responsables [1.(9)] de áreas o Programas
específicos de Compliance [1.(3)], en el caso de concurrir en la organización, asumen
la obligación de informar al máximo representante [1.(9)] de la función de Compliance
[1.(1)] de los hechos relevantes relacionados con sus cometidos esenciales [4] y con
lo establecido en los Programas de Compliance [1.(3)] específicos que deben operar.
5
Sin perjuicio también de la responsabilidad general de coordinación que pueda
asumir el máximo representante [1.(9)] de la función de Compliance [1.(1)], los
diferentes responsables [1.(9)] de áreas específicas o Programas de Compliance [1.(3)]
adquieren la responsabilidad de operar diligentemente sus respectivos Programas
de Compliance [1.(3)] o, en caso de no hallarse formalizados, de una razonable
supervisión del cumplimiento de las obligaciones de Compliance [1.(2)] que tengan
encomendadas.
La diligencia o razonabilidad de las actuaciones tanto del máximo representante [1.(9)] de Compliance
como de los responsables [1.(9)] de áreas o Programas específicos de Compliance [1.(3)] se medirá
atendiendo a su nivel de atención a sus cometidos esenciales [4], así como a los adicionales que
vengan determinados en el Programa de Compliance [1.(3)] que les corresponda operar. Se tendrá
en cuenta también el apoyo y recursos que han recibido por parte del órgano de administración de
la organización, sus comisiones delegadas, alta dirección y demás cargos de responsabilidad, para
operar el Programa o Programas de Compliance [1.(3)] que deben operar.
6
La organización procurará que tanto el máximo representante [1.(9)] de Compliance
como los responsables [1.(9)] de áreas o Programas específicos de Compliance [1.(3)]
disponen de asesoramiento jurídico de calidad en caso de que deban representar
en juicio a la persona jurídica o comparecer ante cualesquier administración pública,
incluida la judicial, con ocasión del ejercicio de sus cometidos esenciales.

47
Interlocución con los grupos de interés6.4
1
Se espera que la función de Compliance [1.(1)] desarrolle tareas de interlocución con
aquellos grupos de interés de la organización de los cuales se deriven o puedan
derivarse obligaciones de Compliance [1.(2)], o expectativas relacionadas con ellas.
La organización involucrará a la función de Compliance [1.(1)] y, en particular, a su
máximo representante [1.(9)], en el mantenimiento de un diálogo transparente y
continuado con los indicados grupos de interés.
Los grupos de interés o partes afectadas tanto pueden ser externos (las administraciones públicas
–incluido el regulador y el poder judicial-, las asociaciones sectoriales o profesionales, etc) como
internos (los representantes de los trabajadores, las funciones de la organización con cometidos
vinculados o sinérgicos con Compliance, etc).
En particular, la organización velará por que el máximo representante [1.(9)] de la función de
Compliance [1.(1)] se comunique con las administraciones públicas, incluyendo la administración
judicial, en lo relativo a incumplimientos regulatorios o incidentes con dimensión jurídico penal,
respectivamente.
2
Cuando las materias objeto de comunicación con los grupos de interés se
correspondan con aspectos propios de alguna o algunas de las áreas específicas
de Compliance, eventualmente sujetas a Programas específicos de Compliance [1.(3)],
se procurará involucrar a sus respectivos responsables [1.(9)] además de al máximo
representante [1.(9)] de la función de Compliance [1.(1)].

48
ANEXO
Relación de marcos de referencia y documentos de directrices tenidos en consideración para la elaboración de
los contenidos de este Libro Blanco.
Normalización internacional
· INTERNATIONAL ORGANIZATION FOR STANDARIZATION - ISO 19600: 2014
Compliance Management Systems – Guidelines.
· INTERNATIONAL ORGANIZATION FOR STANDARIZATION - ISO 37001: 2016
Anti-Bribery Management Systems – Requirements with guidance for use.
Normalización nacional
· Asociación Española de Normalización, UNE UNE-ISO 19600: 2015
Sistemas de Gestión de Compliance. Directrices.
· Asociación Española de Normalización, UNE PNE 19601:
Sistemas de gestión de Compliance penal. Requisitos con orientación para su uso.
· Asociación Española de Normalización, UNE PNE ISO 37001:
Sistemas de gestión antisoborno. Requisitos con orientación para su uso.
· BRITISH STANDARDS INSTITUTION (BSI) (Gran Bretaña) - BS 10500:2011
Specification for an anti-bribery management system (ABMS). Gran Bretaña, Noviembre de 2011.
· STANDARS AUSTRIALIA (Australia) - AS 3806-2006
Compliance Programs. Australia, 9 de marzo de 2006.
Documentos y directrices emitidos por poderes públicos nacionales
· Código Penal español. Artículo 31 bis en la redacción resultante de la Ley Orgánica 1/2015, de 30 de marzo,
por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Madrid, 30 de marzo de
2015.
· FISCALÍA GENERAL DEL ESTADO (España) - Circular 1/2016, sobre la responsabilidad penal de las personas
jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015. Madrid, 22 de enero de
2016.
· COMISIÓN NACIONAL DEL MERCADO DE VALORES – Circular 1/2014, sobre los requisitos de organización
interna y de las funciones de control de las entidades que prestan servicios de inversión.
· MINISTRY OF JUSTICE (Gran Bretaña) - The Bribery Act 2010 – Guidance about procedures which relevant
commercial organisations can put into place to prevent persons associated with them from bribing (Section 9 of the
Bribery Act 2010). Marzo de 2011.
· MINISTRY OF JUSTICE – The Bribery Act 2010 – Quick start guide.
Marcos de referencia de Compliance

49
· CRIMINAL DIVISION OF THE U.S. DEPARTMENT OF JUSTICE AND THE ENFORCEMENT
DIVISION OF THE U.S. SECURITIES AND EXCHANGE COMMISSION – FCPA A Resource Guide to the
U.S. Foreign Corrupt Practices Act. Estados Unidos, 14 de noviembre de 2012.
· U.S. SENTENCING COMISSION – GUIDELINES MANUAL – Chapter Eight – Sentencing of
Organizations. Estados Unidos, noviembre de 2015.
Documentos y directrices emitidos por poderes públicos supranacionales
· EUROPEAN SECURITIES AND MARKETS AUTHORITY – ESMA – Directrices acerca de
ciertos aspectos de los requisitos del órgano de verificación del cumplimiento de la MiFID.
ESMA/2012/388. ESMA, 25 de junio de 2012.

Libro blanco sobre la función de Compliance. ASCOM

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Libro blanco sobre la función de Compliance. ASCOM

Similaire à Libro blanco sobre la función de Compliance. ASCOM (20)

Plus de Dominique Gross

Plus de Dominique Gross (20)

Dernier

Dernier (20)

Libro blanco sobre la función de Compliance. ASCOM